Reach

Grow

Manage

Automate

Reach

Grow

Manage

Automate

为什么认证只是您云安全计划的一部分

电子邮件

1 min read

为什么认证只是您云安全计划的一部分

电子邮件

1 min read

为什么认证只是您云安全计划的一部分

人们经常问我,一个好的安全计划是什么。我多么想指出我的安全外围中的一个方面来用作例子,但有多个项目需要突出。

Attestations 并不总是衡量您的防御姿态

根据定义,证明是表明某事明显的指示。在安全的情况下,特别是安全程序方面,这意味着以官方身份进行认证。




人们经常问我什么是好的安全程序。尽管我想指出我的安全周边的一个方面作为例子,但有多个项目需要强调。该行业依赖于证明和认证来衡量您的安全防御。工程师和操作员会告诉您,您的实际安全周边和威胁评估能力定义了您的安全程序。我会告诉您,测量的合规证明和您的安全团队的操作能力共同定义了您的程序。不过,仅凭证明并不是衡量程序的准确基准。




证明是行业必需,以确保遵守联邦、地方和州法规以及行业最佳实践。ISO、NIST或DoD标准构成了大多数证明的基础。例如,NIST发布了一套标准和技术指南,帮助组织建立对政府“可接受”的周边防御。然而,正如我将要概述的那样,仅仅因为标准已设定,并不意味着实施总是优秀的。

部署一个工具不意味着它正在提供价值

控件允许在实施、运营增长和创新中灵活运用。然而,不幸的是,有些组织利用这灵活性只是为了走形式,但实际上并没有真正的防御措施。




这种问题的一个典型例子是入侵检测/防护系统(IDS 或 IPS)。像病毒扫描器一样,大多数组织投资于 IDS/IPS 作为标准的安全措施,以防御恶意流量和数据渗漏。行业中充斥着制造各种形式 IDS/IPS 系统的供应商。然而,一些组织选择构建而不是购买系统。




我最近离开了一家这样的组织,他们使用开源工具“构建”了自己的入侵检测系统。审计员被告知该系统是一个“了不起的工具”,甚至提供了流量的例子。但当我更深入研究该工具提供的遥测数据时,我意识到流量根本没有被分析。相反,流量只是通过传感器,因为它根本没有配置以捕获或警报任何流量。此外,管理该工具所使用的凭据由一位前员工设置,并且在他离职后从未更新过。因此,基本上,该工具闲置了数月,没有任何人工干预。这不仅让公司面临风险,也危及了外围防御。




一个精明的审计员不会发现这个问题,因为证明不会查找所有系统的“操作”信息——标准实际上只是问答的一层。在事实上,大多数证明仅仅是衡量工具是否存在,而不是操作可行性。此外,大多数审计员不够技术,不容易区分功能性 IDS/IPS 和非功能性的。审计的核心依赖于公司展现其最好的一面,而不是回答难题。审计员在审计过程中还必须涵盖大量的控件,因此时间是其分析质量中的一个重要因素。




仅凭一份证明会告诉你一个公司有成熟的安全计划和控件。要求潜在合作伙伴完成供应商调查也不能带给你信心。调查只是以不同的格式概述相同的信息。那么,你如何评估一个成熟的安全计划呢?

控件允许在实施、运营增长和创新中灵活运用。然而,不幸的是,有些组织利用这灵活性只是为了走形式,但实际上并没有真正的防御措施。




这种问题的一个典型例子是入侵检测/防护系统(IDS 或 IPS)。像病毒扫描器一样,大多数组织投资于 IDS/IPS 作为标准的安全措施,以防御恶意流量和数据渗漏。行业中充斥着制造各种形式 IDS/IPS 系统的供应商。然而,一些组织选择构建而不是购买系统。




我最近离开了一家这样的组织,他们使用开源工具“构建”了自己的入侵检测系统。审计员被告知该系统是一个“了不起的工具”,甚至提供了流量的例子。但当我更深入研究该工具提供的遥测数据时,我意识到流量根本没有被分析。相反,流量只是通过传感器,因为它根本没有配置以捕获或警报任何流量。此外,管理该工具所使用的凭据由一位前员工设置,并且在他离职后从未更新过。因此,基本上,该工具闲置了数月,没有任何人工干预。这不仅让公司面临风险,也危及了外围防御。




一个精明的审计员不会发现这个问题,因为证明不会查找所有系统的“操作”信息——标准实际上只是问答的一层。在事实上,大多数证明仅仅是衡量工具是否存在,而不是操作可行性。此外,大多数审计员不够技术,不容易区分功能性 IDS/IPS 和非功能性的。审计的核心依赖于公司展现其最好的一面,而不是回答难题。审计员在审计过程中还必须涵盖大量的控件,因此时间是其分析质量中的一个重要因素。




仅凭一份证明会告诉你一个公司有成熟的安全计划和控件。要求潜在合作伙伴完成供应商调查也不能带给你信心。调查只是以不同的格式概述相同的信息。那么,你如何评估一个成熟的安全计划呢?

控件允许在实施、运营增长和创新中灵活运用。然而,不幸的是,有些组织利用这灵活性只是为了走形式,但实际上并没有真正的防御措施。




这种问题的一个典型例子是入侵检测/防护系统(IDS 或 IPS)。像病毒扫描器一样,大多数组织投资于 IDS/IPS 作为标准的安全措施,以防御恶意流量和数据渗漏。行业中充斥着制造各种形式 IDS/IPS 系统的供应商。然而,一些组织选择构建而不是购买系统。




我最近离开了一家这样的组织,他们使用开源工具“构建”了自己的入侵检测系统。审计员被告知该系统是一个“了不起的工具”,甚至提供了流量的例子。但当我更深入研究该工具提供的遥测数据时,我意识到流量根本没有被分析。相反,流量只是通过传感器,因为它根本没有配置以捕获或警报任何流量。此外,管理该工具所使用的凭据由一位前员工设置,并且在他离职后从未更新过。因此,基本上,该工具闲置了数月,没有任何人工干预。这不仅让公司面临风险,也危及了外围防御。




一个精明的审计员不会发现这个问题,因为证明不会查找所有系统的“操作”信息——标准实际上只是问答的一层。在事实上,大多数证明仅仅是衡量工具是否存在,而不是操作可行性。此外,大多数审计员不够技术,不容易区分功能性 IDS/IPS 和非功能性的。审计的核心依赖于公司展现其最好的一面,而不是回答难题。审计员在审计过程中还必须涵盖大量的控件,因此时间是其分析质量中的一个重要因素。




仅凭一份证明会告诉你一个公司有成熟的安全计划和控件。要求潜在合作伙伴完成供应商调查也不能带给你信心。调查只是以不同的格式概述相同的信息。那么,你如何评估一个成熟的安全计划呢?

评估整个Cloud Security Program

首先,你应该至少审查声明和调查报告,而不是执行摘要。这将为您提供第三方审查的程序概览。其次,你应该确定地查看公司是否进行第三方渗透测试或漏洞奖励计划。个人而言,我不太喜欢漏洞奖励,但我每年都支持第三方渗透测试。渗透测试为您提供结构化的防御测试和关于漏洞的真实反馈。最后,审查公司用于实施的安全文档(通常是目录)。这包括(但当然不限于)安全政策、事件响应和漏洞管理。有经验的安全团队会主动提供这些文件和材料,作为正常业务的一部分。




我通常会从公司数据访问的角度评估每个供应商和合作伙伴。也就是说,如果合作伙伴或供应商管理公司数据,他们会受到比不管理数据的供应商更多的审查。在评估安全计划时请记住业务目的。我会审查业务目的和所涉及信息的类型,然后从该角度进行评估,而不是以相同的方式对待所有合作伙伴和供应商。如有疑问,请始终要求更多信息。

让我们为您联系Bird专家。
在30分钟内见证Bird的全部威力。

通过提交,您同意 Bird 可能会就我们的产品和服务与您联系。

您可以随时取消订阅。查看Bird的隐私声明以获取有关数据处理的详细信息。

Newsletter

通过每周更新到您的收件箱,随时了解 Bird 的最新动态。

通过提交,您同意 Bird 可能会就我们的产品和服务与您联系。

您可以随时取消订阅。查看Bird的隐私声明以获取有关数据处理的详细信息。

让我们为您联系Bird专家。
在30分钟内见证Bird的全部威力。

通过提交,您同意 Bird 可能会就我们的产品和服务与您联系。

您可以随时取消订阅。查看Bird的隐私声明以获取有关数据处理的详细信息。

Newsletter

通过每周更新到您的收件箱,随时了解 Bird 的最新动态。

通过提交,您同意 Bird 可能会就我们的产品和服务与您联系。

您可以随时取消订阅。查看Bird的隐私声明以获取有关数据处理的详细信息。

让我们为您联系Bird专家。
在30分钟内见证Bird的全部威力。

通过提交,您同意 Bird 可能会就我们的产品和服务与您联系。

您可以随时取消订阅。查看Bird的隐私声明以获取有关数据处理的详细信息。

R

Reach

G

Grow

M

Manage

A

Automate

Newsletter

通过每周更新到您的收件箱,随时了解 Bird 的最新动态。

通过提交,您同意 Bird 可能会就我们的产品和服务与您联系。

您可以随时取消订阅。查看Bird的隐私声明以获取有关数据处理的详细信息。